Direct contact opnemen

Schrijf je in voor de nieuwsbrief

Contact opnemen

[recaptcha id:276971182492145]

Security / 25-06 / Roy

De staat van Antivirus, anno 2020.

Het is big-business. Sinds de opkomst van Crypto-valuta is het erg makkelijk geworden om anoniem te handelen. Gijzelsoftware is al enige tijd een niet te stoppen trend, gemaakt door ware bedrijfjes met een afdeling financiën en customer service. Zullen we je even helpen met de Bitcoin betaling?



Geschiedenis

Het eerste computervirus (“Creeper”) werd in 1971 ontwikkeld door Bob Thomas. Met zijn creatie toonde hij aan dat software zichzelf kon verplaatsen naar andere systemen via het ARPANET (de voorloper van het internet). Het werd niet als kwaadaardig gezien, het enige effect was namelijk een melding op het scherm “I’m the creeper: catch me if you can”, er werd verder geen schade toegebracht.

CREEPER op Telex OS

Vrij snel daarna kwam Ray Tomlinson met een verbeterde versie die zich vermenigvuldigde in plaats van verplaatste. Daarmee was het eerste computervirus een feit. Ray schreef gelijk ook maar de eerste antivirus software (“Reaper”) bedoeld om kopieën van Creeper weer te verwijderen.


Hier begon het kat en muisspel tussen virus- en antivirus ontwikkelaars (bron).


Vele virussen volgden. De antivirus industrie liep per definitie achter de feiten aan. Zodra een nieuw virus zich aandiende werd een signature (digitale handtekening) van het virus toegevoegd aan een database met bekende virussen. Men was pas beschermd tegen de nieuwe dreiging na installatie van de laatste update. Mocht een van de signatures ontdekt worden op een computer kon de antivirus alarm slaan en werd het betreffende bestand in quarantaine geplaatst of verwijderd.



Anna Kournikova

Op 11 februari 2001 paste de twintigjarige student Jan de Wit (alias “OnTheFly”) een bestaand virus (“[K]Alamar”) aan en noemde zijn kopie “Anna Kournikova”. Er werd een mailtje met zogenaamd een foto van de bekende tennisspeler verstuurd.

Een mailtje met het Anna Kournikova-virus

Het bestand “AnnaKournikova.jpg.vbs” liet echter geen foto zien maar voerde een script uit en verspreide zichzelf naar alle contactpersonen in het Outlook-adressenbestand. Daarmee leek het voor de nieuwe ontvangers ook weer betrouwbaar, gezien de afzender vaak een bekende was, en werd er weer op geklikt. De verspreiding ging zo snel dat mailservers overbelast raakte. Na enkele dagen, en zelfs de bemoeienis van de Amerikaanse FBI in de zoektocht naar de identiteit van de Wit, besloot hij (in overleg met zijn ouders) om zich op 14 februari 2001 te melden bij het politiebureau van Sneek. Enkele dagen later bood Sieboldt Hartkamp, destijds burgemeester van Sneek, de Wit een baan aan op de IT-afdeling van de gemeente. Uiteindelijk heeft de Wit 150-uur taakstraf uitgevoerd.


Vandaag de dag

In juni 2020 kwamen per dag zo’n 350.000 nieuwe bedreigingen uit (Bron). Op handtekening-gebaseerde antivirus oplossingen lopen dan snel achter de feiten aan waardoor systemen dagen en soms zelfs weken kwetsbaar blijven. Het kat en muisspel wordt steeds lastiger.


Polymorphic Malware

Traditionele antivirus software die werkt met signature-herkenning moet altijd up-to-date zijn. Bovendien is de bescherming erg reactief. De antivirus leverancier moet bekend zijn met alle virussen voordat het aan de database kan worden toegevoegd. Recentere virussen muteren echter ook, waardoor de signature (steeds) veranderd. Hierdoor is de signature methode inmiddels grotendeels achterhaald.


Geïnfecteerde documenten (Wormen)

Via verschillende documentformaten zoals Adobe PDF, Microsoft Word of JPG-plaatjes kan ook malafide software worden verspreid. Zulke bestanden zien er veilig uit, ook voor een getraind oog. Er worden vaak scripts meegestuurd waardoor ongemerkt software geïnstalleerd kan worden waarmee later de volledige controle van de computer via internet kan worden overgenomen.


Browser drive-by downloads

Internet browsers zoals Google Chrome, Mozilla Firefox, Safari en Microsoft Edge kennen regelmatig  kwetsbaarheden en worden heel frequent geüpdate. Er wordt gewerkt op het snijvlak van veiligheid en de laatste functionaliteit. Hiermee is de browser een regelmatige bron van infectie geworden. Via een slimme knop of script op een geïnfecteerde website kan een gebruiker worden getriggered om te klikken. Daarmee wordt in de achtergrond de kwaadaardige toepassing opgestart.


Bestandsloze aanvallen

De meeste anvirus software werkt door bestanden te inspecteren. Als er echter geen bestand is om te scannen, kan de antivirus niets doen. Dit soort aanvallen werken via bestaande toepassingen op het systeem om scripts uit te voeren (b.v. Powershell of Rundll32.exe).


Het begint veelal via een document of script op een website, maar kan ook via een open poort in de firewall (zoals Remote Desktop, RDP) binnenkomen. De afgelopen jaren zijn dit soort aanvallen steeds populairder aan het worden.


Versluierde malware

Eerder schreven we over het kat- en muisspel tussen cybercriminelen en Antivirusmakers. Er worden verschillende methoden voor het ontdekken van nieuwe virussen toegepast, o.a. het uitvoeren van Virussen in lab-omgevingen (“sandbox”) en bekijken wat een virus doet. Ook wordt broncode gescand naar mogelijk bekende kwaadaardige gedragingen.


Ook hieromheen hebben Virusmakers zich een weg weten te banen, vergelijkbaar met de VW-sjoemelsoftware affaire. Malware detecteert dat het wordt uitgevoerd in een sandbox en zal niet activeren.


Daarnaast worden Virussen ingepakt, versleuteld of gecomprimeerd verspreid. Denk hierbij aan een ZIP-file waar het wachtwoord separaat van wordt gestuurd. Zo zijn ze veel lastig(er) te detecteren.



Hoe voorkom je een aanval?

Uiteraard ga je al bewust om met je computer. Linkjes die je niet vertrouwd klik je niet aan en je gaat niet in op verzoeken via mail of telefoon om naar nader te specificeren websites te gaan.


Daarnaast zal je erop moeten vertrouwen dat je ICT-dienstverlener je helpt om veilig te blijven. De beste aanpak is opgebouwd uit meerdere lagen:

  • Je computers en software zijn up-to-date met de laatste veiligheidspatches;
  • Risicovolle websites worden actief geblokkeerd (b.v. via Cisco Umbrella);
  • Alle inkomende mail wordt zorgvuldig gescand;
  • Je firewall staat volledig dicht, met enkel uitzonderingen voor datgene echt nodig is;

Mocht een aanval je toch bereiken kan je terugvallen op een goede, periodiek geteste backup.


Verder adviseren we SentinelOne Endpoint Detection and Response (EDR). Deze software voorkomt, detecteert en reageert dynamisch op cyber-risico’s en is niet afhankelijk van signatures maar herkent kwaadaardig gedrag. Mocht een aanval plaatsvinden zal EDR dit herkennen en in een vroeg stadium blokkeren. Wijzigingen worden bijgehouden waardoor een snelle roll-back gedaan kan worden. Zo kan je vlug weer verder.



Meer weten?

We plannen graag geheel vrijblijvend een uurtje voor een (digitale) meeting, waarin we je aan de hand van een vragenlijst met zo’n 50 punten inzicht geven in hoe jouw ICT-omgeving scoort op het gebied van veiligheid en hoe je deze zou kunnen verbeteren.

Download

Download

Whitepaper: De kosten van niets doen

Deze website maakt gebruik van cookies om u een zo goed mogelijke gebruikerservaring te geven.
Ga hiermee akkoord door op accepteren te klikken.